Neuer Virus kann sich selbst updaten

Verschiedene Anti-Viren-Firmen haben vor einem neuen Erreger gewarnt, der sich selbst updaten können soll. „Das ist erst die Spitze des Eisberges“, kommentierte der Berater Eric Chien von Symantec das Auftauchen von „W95.Babylonia“. „Die Virenschreiber nehmen immer mehr Netzwerk-zentrierte Ideen auf, um damit neue Arten von Programmen zu schreiben.“

Bisher bekannte Namen für E-Mail-Anhänge mit der gefährlichen Ladung lauten:

• I-WATCH-U.EXE
• BABILONIA.EXE
• X-MAS.EXE
• SURPRISE!.EXE
• JESUS.EXE
• BUHH.EXE
• CHOCOLATE.EXE

Symantec hat seit dem ersten Auftauchen von Babylonia am 6. Dezember 24 Virenbefälle gezählt (www.symantec.com/…), Computer Associates seit dem 3. Dezember 15. Das elf KByte große Programm befällt „.exe“- und „.hlp“-Files von Windows 95, richtet allerdings keinen Schaden an – noch nicht. Die Experten vermuten, dass zerstörerische Varianten der Sprachverwirrung nicht lange auf sich warten lassen werden.

Der Virus tauchte erstmals in einer Newsgroup auf – getarnt als Windows Help File namens „serialz.hlp“ – und gab vor, eine Liste von Seriennummern von kommerzieller Software zu sein. Wird das File geöffnet, kopiert es sich in den Kernel-Speicher und eröffnet ein neues, vier KByte großes File mit der Bezeichnung „c:babylonia.exe“. Dann kopiert sich babylonia.exe selbst als „KERNEL32.EXE“ in das Windows System Directory und listet diese Kopie unter „SoftwareMicrosoftWindowsCurrentVersionRun“.

In der Folge führt sich das Programm bei jedem Programmstart selbst aus. Dabei sucht es nach der Applikation „RNAAPP.EXE“, die bei Windows 9x im online-Modus aktiv ist. Wird das Programm fündig, stellt es eine Verbindung zu einer japanischen Site eines Hackers her. Von dort lädt es ein Textfile namens „virus.txt“ herunter. Dieses listet die Namen „dropper.dat“, „greetz.dat“, „ircworm.dat“ und „poll.dat“ auf. Diese nutzen ein spezielles Format mit einem Header, der mit „VMOD“ beginnt. VMOD steht für „Virus Module“.

Schließlich werden die vier geladenen Files aktiv und senden unter anderem die Nachricht „Quando o mestre chegara?“ an die Adresse babylonia_counter@hotmail.com. Dies dient dem Autor dazu, die Zahl der befallenen Rechner festzustellen. Über MIRC verbreitet sich der Virus weiter.

Der Autor, der sich „Vecna“ nennt, gehört laut Symantec zur lateinamerikanischen Gruppe von Virenschreibern namens 29A.

Anwender können eine Infektion durch den Eintrag „W95/Babylonia by Vecna (c) 1999“ in c:autoexec.bat feststellen. Ein Update der eingesetzten Anti-Virensoftware sollte vor einem Befall schützen.

Kontakt:
Symantec, Tel.: 02102/74530